ابزار Lynis

منتشر شده در دسته : بلاگ

ابزار lynis چیست؟

ابزار lynis چیست و چه کاربردی دارد. اگر شما ادمین سیستم هستید یا وب مستر هستید یا به هر شکلی سروری آنلاین را مدیریت می کنید به منظور پیاده سازی های امنیتی وب سرور خود نیازمند یک راهنمای خوب دارید. Lynis یک ابزار امنیتی متن باز می باشد. این ابزار به شما کمک می کند تا سیستم های در حال اجرای یونیکس را ارزیابی امنیتی کنید و راهنمایی جامع در زمینه آزمون تطابق و محکم کاری سرور لینوکس به شما ارایه می کند.

ابزار Lynis اسکن عمیق امنیتی را انجام پیاده سازی کرده و این کار را بر روی خود سیستم مورد تست انجام می دهد. پس تفاوت عمده با اسکنرهای امنیتی همچون Nesus , Nexpose و انمپ و … این است که این ابزار را بر روی خود سرور نصب کرده و با دسترسی به اطلاعات پیکربندی شده شما را هدایت می کند.

همین موضوع به شما کمک می کند که در صورتیکه قصد پیاده سازی تست نفوذ بر روی سرور خود ندارید به دلایل مختلف از جمله آسیب دیدن منابع یا هزینه و زمان با نصب این ابزار سبک به سادگی از اشکال های امنیتی خود مطلع شوید.

هدف اصلی Lynis , آزمون دفاع امنیتی و ارایه نکات و راهکارهایی برای محکم کاری سرور لینوکس می باشد. علاوه بر آن اطلاعات کلی سیستم , بسته های نرم افزاری نصب شده آسیب پذیر و مشکلات پیکربندی ممکن را اسکن می کند.

 Lynis بیشتر ابزار کار سیس ادمین ها و و ارزیاب های امنیتی و تیم آبی می باشد ولی امروزه حتی آزمونگرهای نفوذ نیز این ابزار را در جعبه ابزار خود در اختیار دارند.

اهداف ابزار Lynis

  • اسکن امنیتی خودکار
  • آزمون تطابق بر اساس استانداردهایی همچون ISO2700 , PCI-DSS
  • تشخیص آسیب پذیری
  • مدیریت اجزا و پیکربندی
  • مدیریت وصله نرم افزاری
  • تست نفوذ
  • تشخیص نفوذ

مخاطبان Lynis

  • مدیران سیستم
  • ارزیاب های امنیتی
  • افسران امنیتی
  • آزمونگرهای نفوذ
  • متخصصان امنیتی

کار با ابزار Lynis

نصب Lynis بسیار ساده می باشد. به وب سرور خود لاگین کنید و مطمئن شوید که Git بر روی سیستم شما نصب شده و با استفاده از ابزار Git آن را در مکانی دلخواه کلون کنید و به پوشه نصب شده lynis وارد شوید :

git clone https://github.com/CISOfy/lynis
cd lynis
ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

رایج ترین دستور به منظور پیاده سازی ارزیابی سیستم استفاده از ساختار دستوری زیر می باشد :

./lynis audit system
ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

پارامترهای اجرا

برای مشاهده پارامترهای موجود سوییچ h- , به منظور بروزرسانی ابزار سوییچ check-update– , برای مشاهده تنها هشدارها سوییچ quiet– و برای مشاهده نسخه فعلی ابزار سوییچ version– را می توان استفاده کرد.

پس از اجرای اسکن lynis شروع به کار کرده , سیستم عامل را شناسایی کرده و اطلاعات ریز آن را چاپ می کند. من در اینجا برای آموزش از یک ماشین مجازی CentOS استفاده کردم.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

بررسی هشدارها و پیام ها

زمانیکه ابزار lynis یک سیستم را اسکن می کند خروجی را در حین اسکن در صفحه چاپ می کند. در بیشتر موارد دو گزینه بیشتر از همه نمایش داده می شود. یکی هشدار یا همان WARNING که با رنگ قرمز بوده و دیگری OK با رنگ سبز. گزینه OK به این معنی است که نتیجه خوب است و دیگری نشان دهنده وجود یک رخداد غیرمنتظره است.

دقت داشته باشید که صرف وجود OK همیشه به معنای پیکربندی صحیح سیستم نیست . این تنها یک اسکنر است و کامل نیست.

همین طور هشدار WARNING همیشه به معنای چیز بدی نیست و ممکن است خطای اسکنر باشد یا اینکه پیش نیازهای سیستم شما متفاوت باشد. هرچند ارزیاب سیستم باید به این موارد توجه کند و با دانش خود از سیستم آنها را بررسی کند.

با نگاهی به تصویر زیر مشاهده می کنید که کاربران , گروهها و احرازهویت در سیستم لینوکس بررسی می شود. به عنوان مثال حساب های کاربری ادمین شرایط خوبی دارند.

پایداری فایل پسورد شرایط خوبی دارد. در ادامه مورد دیگری با نام SUGGESTION با رنگ زرد نمایش داده می شود که در پایان گزارش پیشنهادهایی را به ما برای افزایش امنیتی سیستم می دهد.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

در بخش Shells نمایش داده می شود که مقادیر پیش فرض umask ضعیف است (WEAK)

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

همچنین در بخش نرم افزارهای پیام رسانی و ایمیل سیستم برنامه Postfix دارای بنر پیش فرض می باشد.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

در بخش SSH موارد پیشنهادی زیادی مشاهده می شود.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

همچنین در بخش برنامه های وب سرور می بینید که ماژول خطرناک پی اچ پی expose_php فعال است که با رنگ قرمز برجسته شده است.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

نتایج اسکن

پس از پایان اسکن نتایج نهایی در صفحه چاپ می شود که در اینجا یک هشدار و 41 پیشنهاد به ما می دهد. دقت داشته باشید که lynis یک ابزار ارزیابی سیستم است و هیچ چیزی را برای شما تغییر نمی دهد. تنها سیستم را اسکن کرده و پیشنهادهایی به منظور وصله کردن و محکم کاری سرور به شما می دهد.

من در ادامه چند مورد را توضیح داده و برخی را وصله می کنم. اگر دقت کنید در زیر هر مورد از هشدارها یا پیشنهادهایی که نمایش داده می شود, یک آدرس در خود وبسایت مبدا ابزار وجود دارد که با مطالعه آن می توانید درباره مشکل امنیتی بیشتر مطالعه کنید و آن را برطرف کنید. به عنوان نمونه در اینجا هشداری برای بنرهای SMTP وجود دارد.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

رفع مشکل پیکربندی

با مطالعه مشکلی در می یابیم که این مشکل موجب شده که نرم افزار و نسخه فعلی آن توسط اسکریپت های مخرب از بنر نرم افزار قابل استخراج باشد. این مسئله ای رایج است که نرم افزارها نسخه خود را افشا کنند ولی از نظر امنیتی باعث درز اطلاعات است که در فاز جمع آوری اطلاعات به اشخاص مهاجم اجازه شناسایی بهتر به سیستم شما را می دهد.

برای رفع این مشکل خاص درباره نرم افزار POSTFIX کافی است تا متغیر smtpd_banner در فایل main.cf را تغییر داده و یکبار  دیمن سرویس POSTFIX را ری استارت کنید.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

پیشنهادهایی در ارتباط با حداقل و حداکثر عمر پسورد و umask پیش فرض به ما می دهد. همچنین توصیه می کند که دایرکتورهای home و tmp و var را در پارتیشنی جدگانه قرار دهیم. این موضوع بیشتر به اشغال فضای این پوشه ها توسط کاربر بر می گردد و توصیه میشود که از دایرکتوری root جدا شده و در پارتیشنی جداگانه قرار داده شوند.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

یکسری موارد محکم کاری پیکربندی را ارایه می کند که مقدار تغییری مورد نظر را به ما نمایش می دهد. در تنظیمات SSH به عنوان مثال مقدار ClientAliveCountMax را از مقدار 3 به مقدار 2 تغییر داده و سطح لاگ نویسی را به VERBOSE تغییر دهید. پورت پیش فرض SSH را تغییر دهید و همچنین X11Forwading که اجازه ریموت و فوروارد نمایش به ویندوز لوکال را می دهد را غیرفعال کنید.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

در تنظیمات PHP تابع expose_php را غیرفعال کنید.

ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

دیگر توصیه ها

به منظور جلوگیری از حملات DDOS می توانید Apache mod_evasive را نصب کنید.

یکی دیگر از توصیه های خوب نصب اسکنرهای بدافزار و روت کیت همچون rkhunter یا chkrootkit می باشد که به شناسایی روت کیت و بدافزار بر روی سیستم شما کمک می کند.

lynis دارای گزینه pentest– می باشد که امکان اسکن بدون مجوز دسترسی را فراهم می کند. این گزینه برای آزمونگرهای نفوذ که دسترسی به سرور ندارند یا دسترسی آنها محدود است امکان استفاده از lynis را فراهم می کند.

در پایان این ابزار نتایج تست و اطلاعات دیباگ را در فایل زیر ذخیره می کند :

/var/log/lynis.log

همچنین گزارش داده ها در فایل زیر ذخیره می شوند :

/var/log/lynis-report/dat
ابزار lynis - ارزیابی امنیتی - ارزیابی وب سرور

ابزار lynis دارای نسخه تجاری می باشد که طبق گفته سازندگان این ابزار از نظر قابلیت ها و عملکرد نسخه رایگان تفاوتی با نسخه تجاری ندارد تنها ارایه پشتیبانی و ارایه پلاگین های اضافی مزیت استفاده از نسخه تجاری می باشد.

خوشحال می شویم دیدگاههای خود را در میان بگذارید * فرصت پاسخگویی به سوالات در بلاگ وجود ندارد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *